别问,我累了。明天还在黑夜那边,还很遥远。北冰洋里的鱼,现在,不会梦见我们。
我累了,真累。我想在你的凝视中,休息片刻。
近日准备对公司网络实施活动目录管理,域控制器也是一台提供远程桌面服务的服务器。今天发现原先隶属于计算机 Users 组的用户无法通过客户端建立远程桌面连接,服务器提示:要登录到这台远程计算机,您必须被授予允许通过终端服务登录的权限。默认地,“远程桌面用户”组的成员拥有该权限。如果您不是“远程桌面用户”组或其它拥有该权限的组的成员,或者如果“远程桌面用户”组没有该权限,您必须手动授予这些权限。
如下图所示:
解决办法如下:
1、打开“管理工具”中的“终端服务配置”,选择“连接”,在右边找到连接项(如:RDP-Tcp、tcp、Microsoft RDP 5.2)。如下图所示:
2、双击要修改的连接项,选择“权限”选项卡。如下图所示:
又是一个不眠之夜,写点东西好了。
上个月托管在某电信机房的服务器遭受了 ARP 欺骗,虽然不是我的服务器中毒,但还是受到了一定程度的影响。事后我认识到双向绑定的重要性,于是和机房联系做了双绑。
对于双向绑定,我的理解是在下级客户端与上级网关上分别知道自己与对方的 IP 及其 MAC 地址,并且这是一个静态的关系。ARP 协议中,默认的关系是 dynamic,而且这与使用 DHCP 与否没有关系。我们来做个实验:
C:\>arp -a这个例子已经说明了问题。绑定后的状态一直都是 static,直到系统下次重启。
Interface: 192.168.0.201 --- 0x10003
Internet Address Physical Address Type
192.168.0.1 00-14-78-99-3d-a9 dynamic
192.168.0.50 00-0b-2f-10-12-ab dynamic
C:\>arp -d
C:\>arp -s 192.168.0.1 00-14-78-99-3d-a9
C:\>arp -a
Interface: 192.168.0.201 --- 0x10003
Internet Address Physical Address Type
192.168.0.1 00-14-78-99-3d-a9 static
192.168.0.50 00-0b-2f-10-12-ab dynamic
如果服务器处于双线机房,或者由于其他原因,具有一个以上的 IP 地址,其操作方式雷同。我的服务器上有两个 IP 地址,arp -a 后的结果是这样的:
C:\>arp -a我设计了以下的脚本。将它放入计划任务,并设置为每次系统启动时启动该脚本,配合机房在网关设备上对该服务器 IP 与其 MAC 地址的绑定,就可以使 Windows 操作系统的服务器具备防止 ARP 欺骗的能力:
Interface: 60.12.104.24 --- 0x10003
Internet Address Physical Address Type
60.12.104.1 00-11-bb-3e-62-3f dynamic
122.225.96.1 00-11-bb-3e-62-3f dynamic
@echo off对于类 Unix 操作系统的操作也基本相似。首先通过 arp -a 获取当前信息:
arp -d
arp -s 122.225.96.1 00-11-bb-3e-62-3f
arp -s 60.12.104.1 00-11-bb-3e-62-3f
exit
#arp -a然后执行单向绑定,注意类 Unix 系统下对 MAC 地址的书写方式:
? (60.12.104.1) at 00:11:bb:3e:62:3f on em0 [ethernet]
? (60.12.104.31) at 00:0e:0c:3c:7d:ba on em0 permanent [ethernet]
? (122.225.96.1) at 00:11:bb:3e:62:3f on em0 [ethernet]
nstech (122.225.96.31) at 00:0e:0c:3c:7d:ba on em0 permanent [ethernet]
#arp -s 122.225.96.1 00:11:bb:3e:62:3f服务器上操作完成后,要求机房在网关设备上对该服务器 IP 与其 MAC 地址的绑定,就实现了传说中的双向绑定。
#arp -s 60.12.104.1 00:11:bb:3e:62:3f
如果服务器当前正在遭受 ARP 欺骗攻击,在机房没有对中毒服务器实施断网处理前,我们只能每隔一段时间就执行一下上面的操作。为了方便起见,我们可以这样做:
#vi /etc/ipmac
将需要做绑定的网关 IP 与其 MAC 地址写入这个文件。每行一个,中间用空格隔开:
122.225.96.1 00:11:bb:3e:62:3f然后:
60.12.104.1 00:11:bb:3e:62:3f
#crontab -e
添加一行:
*/1 * * * * /usr/sbin/arp -f /etc/ipmac
这里的“*/1”代表每隔 1 分钟执行一次,可以根据实际情况调整。和平时期,我一般设置为 10 分钟执行一次:
* */6 * * * /usr/sbin/arp -f /etc/ipmac
战争时期就设置为 5 秒执行一次:
*/12 * * * * /usr/sbin/arp -f /etc/ipmac
对于 Windows 操作系统,只要重新设置一下计划任务的属性,让它每隔一段时间执行一下脚本就可以了。
咳咳,综上所述,这个解决方案是一个临时性解决方案,比较适用于非战时的防御。如果真的遭遇 ARP 欺骗攻击,第一件事还是通过 arp -a 找到源头,然后将信息报告给机房,让机房尽快将中毒的机器断网才是上策。
听说 FreeBSD 系统下面有一个软件叫做“ipguard”,可以有效防御 ARP 欺骗。有空研究一下。
前几天给因为 N 年没有重装系统,也没有对她进行优化,更没有对她关心有加、呵护备至,从而导致系统缓慢不堪、慢如蜗牛的笔记本重装了系统。操作系统是 Windows 2003 Stardard Edition SP2。又因为时近年底,工作繁忙、杂务众多,一直没来得及给她安装常用软件。
昨晚回家后临时需要用到网付,于是安装了工商银行的 U 盾驱动程序。我的 U 盾对应的程序是“华虹客户端管理工具”。安装完毕,在网上支付过程中发现 Windows 的窗口焦点经常自动变化,并具有一定规律。截图如下:
当前窗口失去焦点的时候:
当前窗口获得焦点的时候:
虽说有一种不详的预感,但 NOD32 毕竟没有什么反应。我回顾了一下从系统安装后到现在所执行的操作,然后将工商银行的 U 盾驱动列为重点排查对象。
安装完工商银行的 U 盾驱动后,系统进程会增加两个:BHDCRegC.exe 和 hhukcert.exe。我对前者有点印象,记得未重装系统前进程里也常驻着它。于是我到资源管理器里找到了后者:
最近折腾了一台 HP Pavilion dv2727tx,着实让我烦闷。首先,这机器的价格在杭州大约在 8.3K 上下,预装 Windows Vista Home Premium。从 Vista 折腾到 XP,然后很无奈地再从 XP 折腾回 Vista 大约花了十个小时(累计时间)。在此顺带拜谢 Hewlett-Packard 公司及其售后技术支持工程师、Microsoft Corporation。
整个折腾过程是这样的。该机器出厂预装 Vista 及一大堆 HP 的垃圾软件,整个硬盘 160GB 只有两个分区:C 分区 140GB,安装好的 Vista 及 HP 捆绑软件净占 20GB;D 分区是 HP 的系统恢复数据备份分区。在如此 BT 的分区情况下,不得不尝试对其实施重新分区。由于该机器并未自带恢复光盘,只带了一张关于系统恢复的说明的纸,上面写着若需要 HP 系统恢复光盘,请到某处订购;所以寻思着使用 PQ 或类似功能的软件来实施分区调整。尝试了 PQ 并找寻了众多同类软件,均不支持 Vista 系统。而使用第三方系统引导盘进入 DOS 然后打开 PQ 并不能查询到当前磁盘的分区情况。无奈之下打算对其实施全盘重新 FDISK,然后安装 XP 系统。
接下去使用了 XP 系统安装光盘的分区工具对硬盘实施了重新分区,但不能顺利安装 XP 系统。到检测系统设备那一步就会蓝屏,然后报 ACPI 的错误。致电 HP 售后技术支持,被告知需要刷 BIOS 才可以解决该机器不能安装 XP 系统的问题。据 HP 某工程师说,这是 HP Pavilion dv2000 系列的通病,属于主板 BIOS 版本问题。而这位工程师建议的刷 BIOS 行为是对该机器主板 BIOS 的一次降低版本操作,dv2727tx 默认配置的 BIOS 版本是 F.21,需要刷回到 F.13 才能解决问题。暂且不谈本人对该工程师的敬仰犹如滔滔江水连绵不绝,诧异之下在网上找到了这样一段文字:
HP 最近推出了一批新型号的机器,很多人在改装 XP 的时候遇到很多问题,解决方法:
看到这里我真的吐血了。刷 BIOS 肯定是不行的,毕竟不是自己的机器,不能轻易尝试。试着在安装 XP 的时候按 F7 跳过电源设备检测,确实可以顺利安装好 XP 系统。当然,其后果也与上文所述一致,还多了一个声卡驱动问题,可以参看此文。
必须刷 BIOS 才能装 XP 的机型:DV272X(DV2726、2727、2728、2729),V370X 系列(V3704、3706)。
这几个型号的机子一定要刷回 F13 的 BIOS 才能够顺利装 XP ,那种按 F7 的安装法虽然可以成功安装 XP ,但有几个致命缺陷:
1、有两个设备的驱动是黄色惊叹号,分别是软盘驱动器和 ICH8 2843;
2、无线网卡可以装上驱动但搜索不到无线网络;
3、不能正常关机。
当然刷 F13 的 BIOS 后也不是十全十美,尽管驱动可以全部顺利装上,也没有 F7 安装法出现的问题,但是在声卡驱动上还是存在问题(声卡是 Conexant HD SmartAudio 221,HP 的新机器的声卡基本上都换成这个声卡),表现为声卡可以正常工作,但是麦克风不能正常工作,插上耳机的话喇叭和耳机会同时发声,只能等 HP 发布新的 XP 声卡驱动了。但相比 F7 安装法刷 BIOS 的方法存在的问题相对比较可以忽略,当然刷 BIOS 会有风险,刷不刷就由你了。
其他象 V374X(3743、3742等)型号的机器可以不用刷 BIOS 就能够照老方法装 XP,驱动也可以全部装上,当然声卡和上面要刷 BIOS 的机器存在一样的问题。
附上 F13 和 F21 的 BIOS 地址:
F13:ftp://ftp.hp.com/pub/softpaq/sp36501-37000/sp36745.exe
F21:ftp://ftp.hp.com/pub/softpaq/sp37501-38000/sp37915.exe
PS:DV272X(DV2726、2727、2728、2729),V370X 系列(V3704,3706)的 BIOS 是可以通用的,刷之前最好把电池也装上再插电,以免发生断电意外。另外刷 BIOS 必须进 VISTA 或用进 VISTA PE 刷,再次提醒:刷 BIOS 会有风险,请三思而行。
链接:http://blog.zol.com.cn/624/article_623887.html
这款机器比较特殊,过段时间就会有解决方法的,HP 客服现在也没有最新的可以解决声卡的驱动。
万般无奈之下,打算重新装回 Vista,再寻找其他途径折腾。于是联系经销商,请他们帮忙从其他同型号的机器上制作一套 HP 系统恢复盘出来(比较后悔的是当初拿到机器的时候没有自己制作恢复盘,光等这两张恢复盘就等了半天)。拿到恢复光盘后发现 HP 的系统恢复盘只能对整个硬盘进行恢复,无法选择单个分区。我哭笑不得,只能任由 HP 来 QJ 他的儿子。
QJ 完毕之后,在 Vista 系统的磁盘管理工具中发现了 Vista 的一项新功能:对磁盘分区的收缩和扩展。但非常遗憾的是,即便是可以收缩,其最大收缩量也只能是原先分区的 50%左右。放弃之。后来再次反复折腾 PQ 与其他类似软件,均告失败。于是,我对这台机器再也没有任何想法,一丁点都没有了。
在我绝望的时候,又是一台崭新的 HP Pavilion dv2727tx 到货了。这次经销商学乖了,出货前就给重新分区了一下,较原先那台的分区情况是好多了。您知道原先那台机器最后是怎么摆平的吗?我在新的机器上安了一个 80GB 的移动硬盘,对其做了一次全盘 Ghost,然后又把移动硬盘安装到原先那台机器上,Ghost 还原。完成。
无奈了,我。真的。
从来没有认真关注过这个时间同步,今天终于在公司的一台 Windows 2003 服务器上领教了。
该服务器运行着 Windows 2003 Enterprise SP2,并涉及精密时间和金融数据处理。照理这宝贝对于时间的精确度应该非常敏感,但由于常年无法与微软的时间同步服务器通讯,使得时间误差越来越大。从上架服务到今天,这宝贝已经工作了将近半年的时间,时间误差已经接近两分钟,到了无可救药的地步了。
这半年以来,公司还未曾与合作单位对过账。今天收到合作单位的账单,整整 241 页。因为第一次对账,出现了不少坏账,需要核对。于是写了个脚本开始对,没想到合作单位的账单上每条记录的时间居然与我们的数据记录不一样,少则相差一分钟,多则相差近两分钟,而且这个差距没有任何规律。
我疯了,终于意识到时间同步是一件多么重要、多么必要、多么和谐、多么健康、多么有益的事情。然后开启 Windows 的时间同步服务开始对时,发现总是报错“不能连接到对等机器”。想到服务器上使用了 TCP/IP 筛选,仅开放了几个少的可怜的 TCP 端口,猜想是不是端口被阻止了。netstat -an 之后看到 UDP 协议上有一个 123 端口监听着公网 IP 地址和 127.0.0.1,查了资料,就是它了。添加一个 UDP 123 的端口后重启,抛弃慢如蜗牛的 time.windows.com,使用 218.75.4.130 作为时间同步服务器,亡羊补牢告成。
我们的服务器在湖州电信机房,所以使用 218.75.4.130 作为时间同步服务器,这个机器在台州电信,速度不错。在电信线路上,222.73.106.220 这个机器的速度也不错,可以用来同步您的服务器时间。